Potencjalne ataki Bezpieczeństwo

Transkrypt

1 Potencjalne ataki Bezpieczeństwo Przerwanie przesyłania danych informacja nie dociera do odbiorcy Przechwycenie danych informacja dochodzi do odbiorcy, ale odczytuje ją również strona trzecia szyfrowanie informacji, rodzaje szyfrowania; klucze prywatne i publiczne; cyfrowy podpis i jego znaczenie; certyfikaty i PKI. Modyfikacja danych informacja zostaje przejęta, zmodyfikowana i w fałszywej postaci dostarczona do odbiorcy Sfabrykowanie danych odbiorca dostaje informację, której nadawca jest nieprawdziwy 2 Podsłuchiwanie Fałszowanie Przelej na konto Adama????? Przelej na konto Ewy Mój PIN: ??? 3 4 Zaprzeczanie Błędy transmisji Wysyłam Ci 1000 zł Kup 150 akcji kup 750 akcji Nic nie dostałem! 5 6 1

2 System kryptograficzny - wymagania Podstawowe pojęcia Kryptografia (cryptography) przekształcenia szyfrujące i deszyfrujące muszą być efektywne dla wszystkich możliwych kluczy; jest dziedziną zajmującą się utajnionym zapisywaniem informacji. użytkowanie systemu musi być łatwe; Proces przekształcania tekstu jawnego (ang. plain text) w tekst zaszyfrowany (ang. cipher text) (zwany też kryptogramem) nazywa się szyfrowaniem. bezpieczeństwo takiego systemu powinno być zagwarantowane jedynie przez zagwarantowanie poufności tajnych kluczy, a nie poufności algorytmów szyfrowania. Proces odwrotny, polegający na przekształceniu teksu zaszyfrowanego w jawny nazywa się deszyfrowaniem. Zarówno szyfrowanie jak i deszyfrowanie są przekształceniami sparametryzowanymi, których parametrem jest klucz kryptograficzny. 7 Podstawowe pojęcia 8 Bezpieczna informacja Przełamanie szyfru polega na odtworzeniu tekstu jawnego lub klucza na podstawie znajomości tekstu zaszyfrowanego bądź na określeniu klucza na podstawie znajomości tekstów jawnego i zaszyfrowanego. Uwierzytelnienie (authentication) tożsamości użytkownika; Poufność (confidentiality) ochrona nieautoryzowanym jej ujawnianiem; proces weryfikacji informacji przed Integralność danych (data integrity) usługa pozwalająca wykryć nieautoryzowaną zmianę danych; Dziedziną wiedzy zajmującą się łamaniem szyfrów jest kryptoanaliza (cryptoanalysis). Niezaprzeczalność (nonrepudiation) usługa, za pomocą której można udowodnić pochodzenie lub fakt dostarczenia danych; Nauką obejmującą kryptografię i kryptoanalizę jest kryptologia 9 10 Szyfr Cezara Szyfr Cezara - I w. p.n.e. A B C D E F G H I J K L M... D E F G H I J K L M N O P... Tylko 26 możliwych kluczy

3 Szyfr Cezara Szyfr Cardana - XVI w. A B C D E F G H I J K L M... Q W E R T Y U I O P A S D... Aż 26! możliwych kluczy Szyfry przestawieniowe SZYFR AtBash Szyfry przestawieniowe zmieniają uporządkowanie bitów lub znaków w danych. Na przykład w szyfrze płotowym litery tekstu jawnego zapisuje się w taki sposób, aby utworzyć kształt przypominający wierzchołek płotu zbudowanego za sztachet. Tekst zaszyfrowany otrzymujemy odczytując kolejne wierze tak utworzonej konstrukcji. Metodę tę ilustruje poniższy przykład: Każdy znak jest zastępowany znakiem znajdującym się na tej samej pozycji ale licząc od końca. Tekst jawny TO JEST MOJA PRACA DYPLOMOWA można przedstawić następująco: T S O J J E T M A O A R P Y C D A M P O L O A W Przykład: Tekst zaszyfrowany: TSJAYMOETOARCDPOOAJMPALW. Zaszyfrowany tekst KRYPTOGRAFIA będzie miał postać: PIBKGLTIZURZ Klucz tego szyfru jest określony wysokością płotu, która w podanym przykładzie równa się SZYFR MACIERZOWY ALGORYTM BASE 64 Szyfrowanie polega na wprowadzeniu tekstu do macierzy po kolei wierszami, a następnie odczytanie z macierzy kolumnami. Z punktu widzenia kryptologii istotny jest fakt, że zbiór wyjściowy jest o 33% większy od zbioru wejściowego, oraz to, że algorytm BASE64 nie zapewnia należytego bezpieczeństwa. Algorytm BASE64 bazuje na 64 elementowej tablicy znaków. Przykład: BEZPIECZEŃSTWO SYSTEMÓW KOMPUTEROWYCH. Tekst ten ma 35 znaków zatem stworzymy macierz kwadratową 6x6: Działanie: - z tekstu są pobierane 3 znaki; - następnie są one łączone w jeden 24 bitowy ciąg; - ciąg ten dzieli się na cztery 6-bitowe podciągi; - pierwsze dwa bity każdego z podciągów uzupełnia się zerami do 8 bitów; Zaszyfrowany tekst (po usunięciu spacji) będzie miał postać: BCWEMOEZOMPWZESÓUYPŃYWTCISSKEHETTOR tak uzyskane 8-bitowe ciągi zamienia się na znaki w/g poniższej tabelki: 18 3

4 Sposób działania systemu kryptograficznego Nadawca X M - wiadomość jawna Przykład: KRYPTOGRAFIA algorytmem BASE 64. k1 - klucz szyfrujący Szyfrowanie Ek1(M) C - szyfrogram k2 - klucz deszyfrujący Deszyfrowanie Dk2(C) M - odtworzona wiadomość jawna Odbiorca Y 20 Sposób działania systemu kryptograficznego Kryptografia symetryczna Operacja szyfrowania: C = Ek1(M) Operacja deszyfrowania: M' = Dk2(C) Warunkiem poprawnego działania systemu kryptograficznego jest spełnienie dla każdej wiadomości jawnej M, oraz każdej pary kluczy k1 i k2, następującej zależności: M' = Dk2(C) = Dk2(Ek1(M)) = M Kryptografia symetryczna Kryptografia symetryczna Wejście: czysty tekst Tekst zaszyfrowany AxCv;5bmEseTfid3) fgsmwe#4^,sdgfmwi r3:dkjetsy8r\\s@!q3 r3:dkjetsy8r % Przykład kryptografi ryptografiii z kluczem symetrycznym Szyfrowanie Wyjście: czysty tekst Przykład kryptografii z kluczem symetrycznym Deszyfrowanie Ten sam klucz (wspólny sekret) 4

5 Algorytmy symetryczne Algorytmy symetryczne DES, 3DES; W algorytmów symetrycznych jest to, że każda para komunikujących się osób wymaga innego klucza, stąd grupa N osób musi posługiwać się: Blowfish, AES; IDEA; GOST; LUCIFER, Madrygi, NewDES, FEAL-N; N*(N-1) kluczy REDOC, LOKI, Khufu i Khafre; SAFER, Vigenere a, Rijndael Infrastruktura klucza publicznego Kryptografia asymetryczna Przełom - rok 1976; Whitfield Diffie i Martin Hellman publikują artykuł pod tytułem Nowe kierunki w kryptografii. Alice Opisano tam mechanizm pozwalający dwóm stronom ustanawiać bezpieczną komunikację bez potrzeby utrzymywania oddzielnego kanału wymiany informacji tajnej. Bob Użycie dwóch asymetrycznych kluczy do szyfrowania i deszyfrowania informacji. Bpublic Bprivate Wymieniając między sobą klucze publiczne obie strony mogą wymieniać między sobą informacje poufne bez konieczności przekazywania klucza do deszyfrowania informacji. 27 Kryptografia asymetryczna 28 Kryptografia asymetryczna Klucz szyfrujący Pk Klucz deszyfrujący Sk Szyfrogram Algorytm Szyfrujący Algorytm Deszyfrujący Wiadomość m Wiadomość m Podsłuchujący Anna 29 Jan 30 5

6 Kryptografia z kluczem publicznym Wejście: czysty tekst The quick brown fox jumps over the lazy dog Tekst zaszyfrowany Wyjście: czysty tekst Przykład kryptografii z kluczem symetrycznym Py75c%bn&*)9 fde^ bdfaq#xzjfr@g5=&n mdfg$5knvmd rkveg Ms Szyfrowanie Algorytmy asymetryczne Algorytm Diffie'ego-Hellmana W 1976 roku dr W. Diffie i dr M. E. Hellman zapoczątkowali eksplozję" badań nad szyfrowaniem, wprowadzając po raz pierwszy pojęcie szyfrowania z kluczem publicznym, które umożliwia użytkownikom przekazywanie klucza drogą elektroniczną. Deszyfrowanie RSA publiczny Różne klucze prywatny Później, w roku 1979, Rivest, Shamir i Adleman podali przykład pełnego systemu z kluczem publicznym. Klucz prywatny odbiorcy Klucz publiczny odbiorcy 32 Algorytmy asymetryczne - zagrożenia Algorytmy asymetryczne - zagrożenia Problematyka silnej kryptografii Po 11 września rozgorzał na nowo stary spór o to, czy wolno i w jaki sposób poddać kontroli treść korespondencji internetowej. Pisząc swą pracę Diffie i Hellman nie podejrzewali, że ktoś uzna ich rozważania na praktycznymi zastosowaniami algorytmów szyfrujących, Jak dotąd zdecydowanie przeważał pogląd, że tajemnica jest wartością nadrzędną i że żadne organa państwowe czy międzynarodowe nie mają prawa jej naruszać. za zagrożenie dla bezpieczeństwa narodowego. 33 Algorytmy asymetryczne - zagrożenia 34 Steganografia Kryptografia, steganografia, anonimizacja, ślepe skrzynki pocztowe. Idea steganografii polega na niezauważalnej dla wzroku lub ucha zmianie cyfrowego zapisu tekstu, obrazu lub utworu muzycznego. Steganografia polega na umieszczaniu nadawanych informacji pośród sygnałów np. muzycznych czy filmowych, przy czym oczywiście tylko adresat potrafi wyłowić je z takiego ukrycia za pomocą specjalnego oprogramowania. Modyfikacje te mogą nieść poufne, praktycznie niemożliwe do odczytania przez osobę niewtajemniczoną, treści. Anonimizacja zmierza do utajnienia korespondentów w ten sposób, że pocztę wysyła się drogami okrężnymi, co uniemożliwia ustalenie rzeczywistych nadawców i odbiorców. Powszechną cechą współczesnej steganografii jest wykorzystanie publicznych, ogólnodostępnych mediów do przesyłania wiadomości. Ślepe skrzynki": zaszyfrowane informacje niejako deponuje się na ogólnie dostępnych stronach internetowych, ale tylko wtajemniczeni są w stanie je znaleźć i właściwie odczytać. Zwykle przekazują informacje za pomocą ogólnie dostępnych mediów - takich jak np. radio, telewizja czy Internet

7 Steganografia C0 Steganografia CW + s*w CW =C0+s*W W Modulacja Znak wodny (watermark) wstawiany jest na poziomie szumów nadawane są ograniczenia tak, żeby był on niezauważalny Steganografia Steganografia Przed Po Algorytmy asymetryczne - zagrożenia Algorytmy asymetryczne - zagrożenia Kryptoanarchia (ang. crypto anarchy) - pojęcie socjologiczne i politologiczne, stosowane niekiedy w naukowych analizach. Reamailery I-go stopnia tzw. pseudo-anonimowe reamailery; Reamailery II-stopnia tzw. mixmastery; Oznacza możliwy stan systemu politycznego i ekonomicznego państwa, który może się pojawić jako skutek powszechnego stosowania takich technologii, jak szyfrowanie, anonimowa poczta elektroniczna, cyfrowe pseudonimy, elektroniczny pieniądz itd. Różnice sposób obsługi i bezpieczeństwo; Mixmaster 41 potrójne szyfrowanie, listy nie wychodzą w kolejności ich nadejścia, ich wielkość jest identyczna. 42 7

8 Algorytmy asymetryczne - zagrożenia Algorytmy asymetryczne - zagrożenia Anonimowe r ery powstały ze względu na potrzebę zabezpieczania się osób korzystających z sieci komputerowej przed próbami analizy ich działań w Internecie. R ery obcinają z poczty wszelkie nagłówki z każdego listu, a potem dostarczają list do adresata. Adresat nie może w żaden sposób ustalić nadawcy listu. Zwykłe r ery pierwszego stopnia wyposażone są w metody szyfrowania korespondencji. Nie zapewnia to dostatecznej ochrony przed starającym się poznać korepondencję hackerem, który na przykład może śledzić cały ruch wychodzący i przychodzący serwera, albo też każdego następnego z łańcucha r erów. Analogia do klasycznej poczty koperta z adresem, a w niej kolejna koperta z adresem wiadomość znajduje się w ostatniej kopercie. Wysyłający szyfruje wiadomość kluczami publicznymi poszczególnych r erów na trasie przesyłki. Każdy r er rozszyfrowuje tylko tę część wiadomości, która jest dla niego przeznaczona. Rozszyfrowana część zawiera kolejny adres, pod który sewer ma przekazać wiadomość. 43 Algorytmy asymetryczne - zagrożenia przekazuje otrzymanej 44 METODY SZYFROWANIA - porównanie Mixmaster nie natychmiast. wiadomości Kiedy pula wiadomości jest pełna, wysyła listy do kolejnej stacji łańcucha w losowej kolejności. Aby uniemożliwić zidentyfikowanie wiadomości po wielkości, r er przekształca je na paczki zajmujące tyle samo miejsca każda. To uniemożliwia atakującemu odnalezienie relacji między wiadomościami przychodzącymi i wychodzącymi. Ponadto każdy pakiet z wiadomością otrzymuje identyfikator. Mixmaster sprawdza, czy identyfikator zarejestrowany, jeśli tak ignoruje wiadomość. Zabezpiecza to serwer przed atakami polegającymi na wstawianiu wiadomości do łańcucha r erów. 45 został już Proces szyfrowania wiadomości Wady i zalety obu metod Symetryczna Bardzo szybka, możliwa implementacja na układach cyfrowych (realizacja sprzętowa), przejrzysta postać matematyczna metod szyfrowania, konieczność wymiany klucza. Asymetryczna Skomplikowana matematycznie przez to znacznie wolniejsza, bezpieczna nie wymaga wymiany informacji tajnych. Czy można połączyć zalety obu metod?

9 Potwierdzanie autentyczności danych Kryptograficzne funkcje haszujące szyfrujemy całą wiadomość kluczem prywatnym nadawcy, Kryptograficzne funkcje haszujące są zwykle używane do obliczenia wyciągu z wiadomości podczas tworzenia cyfrowego podpisu. kosztowne obliczeniowo wiadomości. Funkcja hashująca kompresuje bity wiadomości do wartości o określonej długości (hash value). Metoda 1: koszt rośnie z wielkością Funkcja haszująca czyni to w sposób, który sprawia niezwykle trudnym pojawienie się wiadomości, która dałaby w rezultacie tę samą hash-wartość. Metoda 2: tworzymy skrót wiadomości o ustalonym z góry rozmiarze n, szyfrujemy kluczem prywatnym nadawcy tylko skrót, koszt mały n małe, koszt stały nie rośnie z wielkością wiadomości i zależy tylko od n. 49 Cechy funkcji Generator skrótów wiadomości (message digest function) przetwarza informacje umieszczone w pliku (niezależnie od jego wielkości) na pojedynczą, dużą liczbę. Liczby generowane przez generatory skrótów mają zazwyczaj od 128 do 256 bitów. 50 Kryptograficzne funkcje haszujące Najlepsze generatory skrótów wiadomości winny posiadać następujące cechy: Odporność na podmianę argumentu: Każdy bit wyniku zwracanego przez generator zależy od każdego bitu danych wejściowych. dla danego h[m] obliczeniowo trudne znalezienie M takiego, że h[m] = h[m ] Jeśli dowolny bit danych wejściowych zostanie zmieniony, każdy bit wartości zwróconej przez generator może się zmienić z prawdopodobieństwem 50%. Odporności na kolizje: Znalezienie pliku wejściowego, który dawałby skrót o takiej samej wartości, co dany (znany) plik wejściowy powinno być obliczeniowo nieopłacalne. obliczeniowo trudne znalezienie dwóch dowolnych argumentów M M takiego, że h[m] = h[m ] 51 Kryptograficzne funkcje haszujące 52 Kryptograficzne funkcje haszujące Generatory skrótów wiadomości nazywane są także jednokierunkowymi funkcjami mieszającymi (one-way hash function), gdyż służą one do generowania liczb trudnych do odtworzenia, odpornych na ataki i praktycznie niepowtarzalnych. Podpisywać można dane o dowolnym rozmiarze; Operacja znakowania kluczem prywatnym nie zmienia wielkości zbioru wymaga jednak, aby przekształcony zbiór miał ustalony rozmiar; Do chwili obecnej opracowano generatorów skrótów wiadomości. To jest zadanie dla funkcji haszujących; Funkcje te charakteryzują się tym, że przekształcają zbiór danych wejściowych o dowolnym rozmiarze na jego reprezentację o ustalonym rozmiarze jest to wymagane do szyfrowania kluczem prywatnym; i wdrożono wiele HMAC, MD2, MD4, MD5, SHA

10 MD5 55 Aspekty techniczne Funkcje jednokierunkowe 58 Aspekty techniczne Aspekty techniczne

11 Aspekty techniczne Tworzenie podpisu cyfrowego Wiadomość lub plik To jest bardzo długa wiadomość na temat Funkcja haszująca (SHA, MD5) MD5) 61 Weryfikowanie podpisu cyfrowego 256-bitowy hash 256wiadomości Podpis cyfrowy Jrf843kjfgf* $&Hdif*7o HDFHSD(** Py75c%bn&*)9 fde^b mdfg$5knvmd rkveg Ms Szyfrowanie asymetryczne Obliczenie hashu (skrótu (skrótu)) wiadomości na podstawie długiej wiadomości za pomocą jednokierunkowej funkcji tworzącej skrót (hasz) prywatny Klucz prywatny sygnatariusza Time-stamps Podpis cyfrowy Jrf843kjf gf* $&Hd if*7ousd FHSD(** Deszyfrowanie asymetryczne (np. RSA)? ==? Klucz publiczny sygnatariusza Wszyscy mają dostęp do zaufanego klucza publicznego sygnatariusza Usługa znakowania czasem: Znacznik czasu zapewnia, że dane istniały przed ich oznaczeniem. Stanowi dowód, iż od tego czasu dane te nie były modyfikowane. Zapewnia wiarygodność czasu, którym oznakowano dany plik. Jest stwierdzeniem, że od momentu znakowania czasem w pliku nie dokonywano zmian. Py75c%bn&*) 9 fde^bdfaq #xzjfr@g5= &nmdfg$5kn vmd rkvegms Takie same? same? Taka sama funkcja haszująca (np. MD5, SHA...) To jest bardzo długa Wiadomość na temat Py75c%bn&*) 9 fde^bdfaq #xzjfr@g5= &nmdfg$5kn vmd rkvegms Oryginalna wiadomość 63 Time-stamps 64 Time-stamps Znacznik czasu ułatwia: tworzenie elektronicznych systemów rejestracji dokumentów; zwiększa bezpieczeństwo procesów biznesowych; uniemożliwia antydatowanie umów; uniemożliwia sporządzanie dokumentów z datą wsteczną; uniemożliwia dokonywania w nich zmian po oznakowaniu czasem; Gwarancją bezpieczeństwa usługi dla użytkowników jest fakt, iż do znakowania czasem wykorzystywane są jedynie kryptograficzne skróty plików, dzięki czemu nie ma konieczności przesyłania plików do np. Centrum Certyfikacji Signet w postaci jawnej

12 Time-stamps Time-stamps W ustawie z dnia 18 września 2001 r. o podpisie elektronicznym czytamy, iż znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów kodeksu cywilnego, co oznacza, że elektroniczne datowanie dokumentów jest równoważne z poświadczeniem daty przez notariusza. Obliczenie skrótu dokumentu. Przesłanie obliczonego skrótu za pomocą Internetu do centrum autoryzacji. Pobranie danych o dokładnym czasie (zegar atomowy). Zapisanie znacznika czasu do archiwum. Odesłanie elektronicznego znacznika czasu do użytkownika. 67 Infrastruktura klucza publicznego 68 Infrastruktura klucza publicznego 69 Infrastruktura klucza publicznego 70 Podpis cyfrowy Niech B będzie odbiorcą wiadomości podpisanej przez A. Podpis A musi spełniać następujące wymagania: 1. B musi mieć możliwość stwierdzenia ważności podpisu A. 2. Nikt nie powinien mieć możliwości podrobienia podpisu. 3. Powinna istnieć możliwość rozstrzygnięcia sporu między B i A w przypadku, gdyby A wypierał się autorstwa danej wiadomości. Podpis cyfrowy zapewnia: * autentyczność nadawcy, * autentyczność danych

13 Kryptografia asymetryczna i podpis cyfrowy Praktyka: funkcja skrótu Unikamy szyfrowania całej wiadomości przy podpisywaniu MD5 MD5 A A? 73 Podpis cyfrowy Użycie kryptografii klucza publicznego Tworzenie wiadomości 74 Proces składania podpisu elektronicznego Klucz publiczny A Podpisana stosując Klucz prywatny A Szyfrowana stosując Klucz publiczny B Klucz publiczny B Klucz prywatny A Czytanie wiadomości Weryfikacja podpisu stosując Stosowana do podpisu cyfrowego, który zapewnia: Integralność Uwierzytelnienie Niezaprzeczalność i do szyfrowania dla poufności Klucz publiczny A Deszfrowana stosując Klucz prywatny B Klucz prywatny B 75 Porównanie podpisów Podpis odręczny 76 Certyfikat cyfrowy (x.509v3) Certyfikat cyfrowy elektroniczne zaświadczenie, potwierdzające tożsamość użytkownika danej pary kluczy (osoby fizycznej, serwera, witryny WWW, VPN, komputera) Podpis cyfrowy Przypisany jednej osobie. Niemożliwy do podrobienia. - Uniemożliwiający wyparcie się go przez autora. - Łatwy do weryfikacji przez osobę niezależną. - Łatwy do wygenerowania. - Zawiera klucz publiczny - - Związany nierozłącznie z dokumentem. - Jednakowy dla wszystkich dokumentów. - Stawiany na ostatniej stronie dokumentu. Może być składowany i przesyłany niezależnie od dokumentu. - Jest funkcją dokumentu. - Obejmuje cały dokument przechowuje informacje o podmiocie (np. imię nazwisko, e , nazwa domenowa, adres IP); może zawierać ograniczenia stosowania certyfikatu (np. podpis cyfrowy, szyfrowanie danych, uwierzytelnienie); numer seryjny; termin ważności certyfikatu; klucz publiczny oraz powyższe dane są podpisane przez Urząd ds. Certyfikatów, który jest gwarantem ich prawdziwości; możliwość unieważnienia (odwołania) certyfikatu

14 Certyfikat cyfrowy (x.509v3) Użycie certyfikatów Certyfikat Klucza publicznego A Tworzenie wiadomości Podpisana stosując Klucz prywatny A Klucz prywatny A Certyfikat Klucza publicznego CA Odbiorca ma certyfikat CA i ufa kluczowi publicznemu CA Odbiorca otrzymuje wiadomość Pobiera certyfikat klucza publicznego A Sprawdza ważność certyfikatu A Weryfikuje podpis CA na tym certyfikacie Weryfikuje podpis pod wiadomością od A Jeśli wszystko jest OK Wiadomość jest prawdziwa! Podpis cyfrowy Integralność wiadomości Wiarygodność nadawcy Odczytanie wiadomości przez odbiorcę INTERNET Podpisanie wiadomości własnym kluczem prywatnym Przesłanie podpisanej wiadomości siecią Internet Klucz publiczny A Klucz prywatny B 80 Urząd ds. Certyfikatów Przesłanie podpisanej wiadomości Wprowadzenie wiadomości w postaci jawnej Czytanie wiadomości Weryfikacja podpisu stosując Weryfikacja ważności certyfikatu nadawcy oraz integralności wiadomości 81 TWORZENIE CERTYFIKATU poświadcza swoim autorytetem powiązanie klucza publicznego z danymi o użytkowniku przez podpisanie takiego kompletu informacji; dokonuje tego na podstawie jasno sformułowanych metod i procedur ogłoszonych publicznie - ściśle stosując się do utworzonej w ten sposób polityki bezpieczeństwa; może generować parę kluczy dla użytkownika, przekazując mu w bezpieczny sposób jego klucz prywatny oraz certyfikat; może przyjąć wygenerowany przez użytkownika klucz publiczny; publikuje do wiadomości publicznej certyfikaty użytkowników; publikuje listy certyfikatów unieważnionych CRL; może obsługiwać pojedynczą instytucję lub całe państwo (teoretycznie); tworzone są hierarchiczne struktury urzędów; 82 WERYFIKACJA CERTYFIKATU 84 14

15 Certyfikat Weryfikacja certyfikatu Klucz publiczny + dane użytkownika Podpisany elektronicznie przez CA Tworzenie certyfikatu: CA A Alice Baker Bridge St.20 A Alice Baker Bridge St.20 Oto mój certyfikat Podpis urzędu Podpis urzędu A MD5 MD5 CA Alice Baker Bridge St.20? CYKL ŻYCIA CERTYFIKATU CERTYFIKATY Etapy cyklu życia certyfikatu: Ustawa o podpisie elektronicznym PKI Poufność (ochrona informacji przed ujawnieniem nieuprawnionemu odbiorcy) Uwierzytelnianie (potwierdzenie tożsamości użytkownika) Integralność (ochrona przed modyfikowaniem) Niezaprzeczalność (np. pochodzenia, przesłania) Generowanie kluczy Wydanie certyfikatu Użytkowanie Walidacja certyfikatu Wygaśnięcie Uaktualnianie Zgodnie z Ustawą o podpisie elektronicznym z dnia 18 września 2001 roku Własność realizowana przez szyfrowanie wiadomości podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane służą do identyfikacji osoby składającej podpis elektroniczny; Problem ten rozwiązywany jest dzięki certyfikatom cyfrowym certyfikat klucza publicznego - elektroniczne zaświadczenie, umożliwiające identyfikację osoby składającej podpis oraz zawierające dane niezbędne do weryfikacji podpisu elektronicznego; Osiągana jest dzięki podpisom cyfrowym Osiągana jest dzięki podpisom cyfrowym

16 Ustawa o podpisie elektronicznym Różnice pomiędzy zwykłym podpisem elektronicznym, a bezpiecznym podpisem elektronicznym bezpieczny podpis elektroniczny podpis elektroniczny przyporządkowany do osoby składającej podpis i sporządzony za pomocą bezpiecznych urządzeń do składania podpisów określonych w ustawie, weryfikowany przy pomocy kwalifikowanego certyfikatu kwalifikowany certyfikat certyfikat wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne kwalifikowany podmiot świadczący usługi certyfikacyjne podmiot wpisany przez Ministra właściwego do spraw gospodarki do kwalifikowanego rejestru podmiotów świadczących usługi certyfikacyjne. 91 Różne formy PKI Ustawa o podpisie elektronicznym Wymagania dla bezpiecznego urządzenia: uniemożliwia odtworzenie danych służących do składania podpisów i haseł zabezpieczających te dane; możliwość zamiany haseł; generowanie kluczy w bezpiecznym urządzeniu; klucz prywatny nigdy nie opuszcza urządzenia i nie jest prezentowany w postaci jawnej; dostęp do klucza prywatnego ma jedynie jego właściciel; generowanie podpisu w bezpiecznym urządzeniu; uniemożliwia zmianę podpisywanych danych Elektroniczna wymiana dokumentów POCZTA ELEKTRONICZNA INTERNET WWW EKSTRANET NOŚNIK - sposób przygotowania dokumentów do wysyłki - droga dostarczenia dokumentów do KSI ZUS 96 16

17 Karty Karty kontaktowe Karty Karty combo Karty bezkontaktowe Chip Karta surowa Plastik Nadruk Karta wyjściowa System operacyjny Struktura plików Dane początkowe Oprogramowanie PKI użytkownika Dane osobowe Smart Card Dane osobowe Nadruk Odbiornik Moc kryptograficzna algorytmu Idea PGP Zdolność algorytmu kryptograficznego do odparcia prób jego złamania nazywana jest mocą algorytmu. Moc algorytmów zależy od: tajność klucza; odporność klucza na odgadnięcie lub wypróbowanie wszystkich możliwych jego kombinacji (atak siłowy); trudność określenia algorytmu odwrotnego bez znajomości klucza szyfrującego (złamanie algorytmu); brak tzw. tylnego wejścia, czyli alternatywnych sposobów umożliwiających prostsze rozszyfrowanie wiadomości bez znajomości klucza; możliwość odszyfrowania całej wiadomości poprzez odszyfrowanie jej części (tzw. atak znanym tekstem jawnym); istnienie pewnych specyficznych właściwości szyfrowanego tekstu jawnego oraz ich znajomość ze strony napastnika. 100 Moc kryptograficzna algorytmu Moc kryptograficzna praktycznie nie daje się udowodnić; Istnieje co najwyżej możliwość udowodnienia jej braku; W chwili stworzenia nowego algorytmu szyfrowania jego autorzy są przekonani, iż jest on "idealny" (tj. kryptograficznie mocny); Kryptoanaliza i ataki na kryptosystemy Ataki siłowe Najprostszym sposobem złamania szyfru jest próba rozkodowania go za pomocą wszystkich możliwych kombinacji klucza (zakładając, że narzędzie używane do łamania szyfru potrafi ustalić, kiedy został zastosowany poprawny klucz); Większość prób nie powiedzie się - jednak w końcu któraś z nich zakończy się sukcesem, co umożliwi napastnikowi dostęp do systemu lub deszyfrację wiadomości; Twórcy algorytmu mogą także udowodnić, że jest on odporny na znane metody ataków. Tego typu schematy postępowania zwane są atakami siłowymi (brute force attack) lub atakami opartymi na przeszukiwaniu kluczy (key search attack); Z upływem czasu opracowywane i publikowane są jednak nowe metody przeprowadzania ataków, które mogą umożliwić skuteczne złamanie szyfru uznawanego za mocny. Obrona przed atakami dokonywanymi metodą siłową jest niemożliwa; Ataki tego typu nie są efektywne, a czasami okazują się wręcz niemożliwe, gdyż istnieje zbyt wiele możliwych kluczy, a równocześnie atakujący ma zbyt mało czasu na wypróbowanie ich wszystkich

18 Algorytm RSA cd. Kryptoanaliza i ataki na kryptosystemy Czynność złamania klucza jest dosyć prosta, jeżeli liczby szyfrujące mają 10 lub nawet 20 cyfr. Dawne programy szyfrujące RSA używały liczb o długości do 512 bitów, zarówno dla klucza publicznego, jak i prywatnego liczby te w reprezentacji dziesiętnej mają 154 cyfry. Poza tym obie liczby są bardzo dużymi liczbami pierwszymi. Przetwarzanie takich liczb wymaga ogromnej mocy obliczeniowej. Z algorytmu RSA korzystają przeglądarki WWW, programy do szyfrowania poczty elektronicznej, programy obsługujące elektroniczne transakcje finansowe i szereg innych. Jednokierunkowść działań matematycznych; Mnożenie dwóch liczb pierwszych; A * B = C obliczenie nie stanowi problemu; Znalezienie natomiast liczb A i B gdy znamy jedynie C (faktoryzacja) problem trudny obliczeniowo; Trudność jest wprost proporcjonalna do wielkości liczb podlegających rozkładowi; Klucze o długości 768 bitów operuje na liczbach 230 cyfrowych (1024 bity 300 cyfrowe) 103 Kryptoanaliza i ataki na kryptosystemy 104 KLASYFIKACJA ATAKÓW Analiza kryptograficzna Gdyby jedynym czynnikiem determinującym bezpieczeństwo szyfru była długość klucza - stosowanie 128-bitowych kluczy (kryptofrafia symetyczna) pozbawienie pracy kryptoanalityków; Atak tylko z tekstem zaszyfrowanym Atak z tekstem zaszyfrowanym ma miejsce, gdy atakujący widzi jedynie tekst zaszyfrowany. Do ujawnienia zaszyfrowanej wiadomości rzadko kiedy konieczny jest atak metodą siłową ogromna większość algorytmów szyfrujących daje się złamać poprzez zastosowanie połączenia zaawansowanych metod matematycznych i odpowiedniej mocy obliczeniowej. Próba rozszyfrowania wiadomości gdy znany jest jedynie tekst zaszyfrowany jest najtrudniejszym rodzajem ataku, gdyż atakujący dysponuje najmniejszą ilością informacji. Zdolny kryptoanalityk może niejednokrotnie odszyfrować wiadomość nawet bez znajomości rodzaju algorytmu szyfrującego. 105 KLASYFIKACJA ATAKÓW 106 Kryptoanaliza i ataki na kryptosystemy Atak ze znanym tekstem otwartym to taki atak, w którym znany jest zarówno tekst otwarty jak i tekst zaszyfrowany. Jego celem jest znalezienie klucza szyfrującego. Nawet jeżeli nie jest znany cały tekst otwarty, to często znana jest jego część. Ponieważ atakujący dysponuje większą wiedzą o tekście zaszyfrowanym, ten rodzaj ataku jest znacznie skuteczniejszy od ataku tylko z tekstem zaszyfrowanym

19 Atak siłowy wyczerpujący DES Czasy potrzebne na rozszyfrowanie różnych kluczy Przystępując do ataku, wychodzimy od 64 bitowego tekstu jawnego i odpowiadającego mu tekstu zaszyfrowanego. W pierwszym przypadku atak będzie polegał na przeszukaniu przestrzeni potencjalnych kluczy i zaszyfrowaniu nim informacji jawnej. Atak można by było uznać za udany w momencie kiedy tekst jawny po zaszyfrowaniu odpowiednim kluczem dałby wynik w postaci odpowiadającego mu tekstu zaszyfrowanego. 109 Inne metody łamania Szyfr Cardana - złamany 26! = Kryptoanaliza liniowa, Kryptoanaliza różnicowa, Kryptoanaliza różnicowo liniowa, Kryptoanaliza algebraiczna, Kryptoanaliza algorytmów z wykorzystaniem cząsteczek DNA. Przy 1 mld testów na sekundę około 4 mld lat. Na podstawie prawidłowości statystycznych. 111 SSL 112 SSL a model OSI Jak zestawić bezpieczny kanał wymiany informacji?

20 SSL Jego niższa warstwa, SSL Record Protocol, znajduje się w tym modelu bezpośrednio nad wiarygodnym protokołem transportowym (takim jak TCP). TCP/IP tworzy pomiędzy dwoma aplikacjami prywatne, wiarygodne połączenie umożliwiające potwierdzanie tożsamości obu komunikujących się stron. Proces ten jest przeprowadzany za pośrednictwem protokołu SSL Handshake Protocol i obejmuje następujące etapy: Klient łączy się z serwerem inicjując wymianę danych SSL. Application Przesyła numer używanej przez siebie wersji protokołu, listę obsługiwanych zestawów algorytmów szyfrowania, wygenerowana liczbę losowa oraz listę obsługiwanych metod kompresji. SSL Transport Serwer odpowiada przesyłając własną wersje SSL, nazwę wybranego z propozycji klienta zestawu algorytmów, wygenerowaną liczbę losową oraz identyfikator rozpoczętej właśnie sesji. Protocol Przesyła również swój certyfikat zgodny z wybranym zestawem metod kryptograficznych oraz opcjonalnie żądanie certyfikatu klienta. Network Address Klient sprawdza certyfikat serwera. Proces ten wymaga wykonania następujących czynności: sprawdzenia, czy nie upłynął już okres ważności certyfikatu; sprawdzenia, czy wystawca certyfikatu jest instytucja zaufana (lista zaufanych CA jest zazwyczaj wbudowana w aplikacje wykorzystującą SSL), jeśli wystawca nie znajduje się na liście, klient może sprawdzić łańcuch certyfikacji aż do napotkania zaufanego CA; sprawdzenia autentyczności podpisu certyfikatu za pomocą klucza publicznego wystawcy; sprawdzenia zgodności nazwy domenowej serwera z adresem zapisanym w certyfikacie, co pozwala na ochronę przed atakami typu man-in-the-middle